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Sonraí 


Tá Prionsabail - rialacha leathana maidir le hiompar nó thorthaí inmhianaithe - mar 
chuid thábhachtach don dlí cosanta sonraí, agus tá siad, déanta na fírinne, lárnach ó 
thaobh an Rialacháin Ginearálta maidir le Cosaint Sonraí (GDPR). Cé go bhfuil 
prionsabail éagsúla le fáil ar fud an GDPR, leagtar amach in Airteagal 5 den GDPR go 
háirithe, seacht gcinn de bhunphrionsabail a bhaineann le próiseáil sonraí pearsanta, 
nach mór do rialaitheoirí (m.sh. iad siúd a chinneann cén chaoi agus cén chúis atá le 
sonraí a phróiseáil) a bheith ar an eolas maidir leo agus na prionsabail seo a 
chomhlíonadh agus iad ag bailiú nó ag próiseáil sonraí pearsanta: 


= Dlíthiúlacht, cothroime agus trédhearcacht; 
= Teorannú de réir cuspóra; 

= Íoslaghdú sonraí; 

= Cruinneas; 

a Teorannú Stórála; 


= Sláine agus rúndacht; agus 
= Cuntasacht. 


Tá na prionsabail seo le fáil ag tús an GDPR, agus cuireann siad faisnéis ar fáil agus tá 
siad lárnach ó thaobh fhorálacha eile go léir na reachtaíochta. Ní mór iad a thuiscint 
mar bhunphrionsabail uileghabhálacha a bhfuil sé mar aidhm leo comhlíonadh spiorad 
an dlí cosanta sonraí agus cosaint cearta daoine aonair (‘ábhair sonraí" a chinntiú. 


Tugann Réamhaithris an GDPR féin ar aird nach bhfuil go leor de na prionsabail seo 
nua glan, agus go bhfuil na prionsabail a bhí le fáil sa Treoir um Chosaint Sonraí 
(95/46/EC) roimhe seo tugtha ar aghaidh den chuid is mó agus curtha leo. Tá rialacha 
gaolmhara agus gnéithe eile de na prionsabail thuas luaite ar fud an GDPR, ar nós 
prionsabail chomhréireachta agus riachtanais, agus prionsabail cosanta sonraí trí 
dhearadh agus de réir réamhshocraithe. Is féidir tuilleadh mionsonraí maidir leis na 
gnéithe seo a fháil thíos. 


Tá comhlíonadh prionsabail cosanta sonraí ar an gcéad chéim agus ar an gcéim is 
tábhachtaí is dóigh is féidir le rialaitheoirí a ghlacadh lena chinntiú go bhfuil siad ag 
comhlíonadh ceanglais an GDPR agus an dlí cosanta sonraí go ginearálta’; mar sin féin 
ní mór do rialaitheoirí comhairle a fháil freisin ó fhorálacha an GDPR agus an tAcht um 
Chosaint Sonraí 2018 ('an tAcht 2018” araon, agus treoir an DPC a thugann mionléiriú ar 
an mbealach a mbíonn tionchar ag na prionsabail seo ar oibleagáidí sonracha. 
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Ní mór do rialaitheoir a thabhairt ar aird go bhfuil feidhm le prionsabail cosanta sonraí 
atá an-chosúil leo, i gcásanna ina ndéantar próiseáil ar shonraí pearsanta 'chun 
críocha forfheidhmithe dlí' faoin Treoir um Fhorfheidhmiú an Dlí (LED), atá aistrithe go 
dlí na hÉireann i gCodanna 5 agus 6 d'Acht na bliana 2018. Is féidir na prionsabail seo, a 
bhaineann le próiseáil chun críocha forfheidhmithe dlí, a fháil in Alt 71 d'Acht 2018. 


Dlíthiúlacht, Cothroime agus Trédhearcacht 


Ní mór sonraí pearsanta a phróiseáil ar bhealach atá dleathach, cothrom agus 
trédhearcach ó thaobh an duine is ábhar do na sonraí. 


Ciallaíonn dlíthiúlacht nach mór go mbeidh bunús dlí faoin GDPR le haon phróiseáil ar 
shonraí pearsanta a thugann rialaitheoir faoi, a bheith ag comhlíonadh an GDPR agus 
Acht 2018 (féach Airteagail 6, 7, 8, agus 9 den GDPR go háirithe), agus seachas sin nach 
mbeidh aon phróiseáil neamhdhleathach nó úsáid neamhdhleathach eile sonraí 
pearsanta bainteach leis. 


Is prionsabal réasúnta leathan atá sa chothroime freisin, nach mór go mbeidh aon 
phróiseáil a dhéantar ar shonraí pearsanta a bheith cothrom don duine aonair a bhfuil 
próiseáil a dhéanamh ar a shonraí/a sonraí pearsanta, ach seachaint a bheith ró- 
dhíobhálach, gan choinne nó ró-mhealltach. 


Is prionsabal tábhachtach ach go háirithe ó thaobh cosaint sonraí is ea 
trédhearcacht laistigh den GDPR, le cearta agus oibleagáidí gaolmhara éagsúla lena 
ndéantar iarracht a chinntiú go mbíonn próiseáil sonraí pearsanta soiléir agus 
trédhearcach do dhaoine aonair agus do rialaitheoirí. Ní mór do rialaitheoirí faisnéise 
maidir le próiseáil a gcuid sonraí pearsanta a chur ar fáil do dhaoine aonair i bhformáid 
atá gonta, inrochtana go héasca, éasca le tuiscint agus i dteanga atá soiléir agus 
simplí. Ní mór é seo a dhéanamh sula mbailítear sonraí pearsanta agus ina dhiaidh sin 
cibé uair a ndéantar athruithe ar an oibríocht próiseála. 


Tá rialacha sonracha maidir le trédhearcacht le fáil in Airteagail 12, 13, agus 14 den 
GDPR, lena n-áirítear, mionsonraí ar chineálacha sonracha faisnéise nach mór a chur ar 
fáil do na hábhair sonraí, agus ar an mbealach nach mór é a chur ar fáil. Ní mór do 
rialaitheoirí a chinntiú, ar mhaithe lena bheith trédhearcach, go mbíonn na bealaí le 
faisnéis a chur in iúl ar an mbealach is cuí dá n-ardán agus dá lucht éisteachta 
spriocdhírithe. Go háirithe, éilíonn prionsabail cothroime agus trédhearcachta go 
mbíonn daoine aonair ar an eolas ó thaobh na hoibríochta próiseála agus na 
cuspóirí atá leis an oibríocht sin. 


Teorannú de réir Cuspóra 
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Féadfar sonraí pearsanta a bhailiú do chríocha sonraithe, soiléire agus dlisteanacha, 
a ndéantar cinneadh ina leith ag an am a bhailítear na sonraí pearsanta agus nach 
ndéanfar tuilleadh próiseáladh ar bhealach nach n-oireann na críocha seo. Mar sin 
féin, féadfaidh rialaitheoirí sonraí tabhairt faoi thuilleadh próiseála chun críocha 
cartlainne ar mhaithe le leas an phobail, cuspóirí taighde eolaíochta nó stairiúil nó 
cuspóirí staitistiúla, mar nach mbreithnítear iad a bheith neamhoiriúnach leis an gcéad 
cuspóir, nuair atá cosaintí cuí i bhfeidhm. Tá tuilleadh rialacha in Acht 2018 a thugann 
mionsonraí breise inar féidir le rialaitheoirí tabhairt faoi thuilleadh próiseála ar mhaithe 
le leas an phobail. 


Níl próiseáil bhreise cuí ach amháin sa chás nach bhfuil cuspóir na próiseála oiriúnach 
don chéad chuspóir. Cibé an bhféadfadh aon phróiseáil ina dhiaidh sin a bheith 
comhoiriúnach leis an gcuspóir bhunaidh ag brath ar aon nasc leis an gcuspóir bunaidh, 
an comhthéacs inar bailíodh na sonraí pearsanta, nádúr na sonraí pearsanta, imthosca 
féideartha na próiseála breise atá i gceist do dhaoine aonair, agus cosaintí cuí a bheith 
ann. 


Tá sé mar chuspóir leis an bprionsabal seo a chinntiú go bhfuil rialaitheoir soiléir agus 
oscailte ón tús maidir le próiseáil na sonraí pearsanta atá beartaithe agus lena chinntiú 
go bhfuil na cuspóirí ag teacht le hionchais réasúnacha na ndaoine aonair. Cuideoidh 
breithniú cúramach ar chomhlíonadh daingean an phrionsabail seo le rialaitheoirí 
sonraí le prionsabail íoslaghdaithe agus cuntasachta sonraí freisin. 


Íoslaghdú Sonraí 


Éilítear leis an bprionsabal seo nach mbaileoidh rialaitheoirí agus nach ndéanfaidh siad 
próiseáil ach ar shonraí pearsanta atá leordhóthanach, ábhartha agus teoranta don 
mhéid is gá chun na gcríoch a ndéantar iad a phróiseáil ina leith. Ciallaíonn sé seo, go 
bunúsach, nár chóir do rialaitheoirí sonraí ach an t-íosmhéid sonraí a theastaíonn 
uathu don oibríocht próiseála atá i gceist acu a bhailiú; níor chóir dóibh riamh 
sonraí pearsanta nach bhfuil riachtanach a bhailiú. Déanann an prionsabal seo 
comhlánú ar phrionsabal an íoslaghdaithe, go háirithe, ar phrionsabal teorannaithe 
stórála le raon de phrionsabail cosanta sonraí. 


Tacaíonn feidhmiú íoslaghdú sonraí le cosaint sonraí trí dhearadh agus de réir 
réamhshocraithe, cuireann teorainn ar an méid sonraí pearsanta a d'fhéadfaí a 
chailleadh nó a ghoid i gcás sárú i ndáil le sonraí pearsanta, ag cuidiú le sláine agus 
rúndacht sonraí pearsanta, agus déanann sé níos éasca d'eagraíochtaí a chinntiú 
go mbíonn na sonraí pearsanta atá á gcoinneáil acu cruinn agus cothrom le dáta, 
ag tacú leis na prionsabail cruinnis a chomhlíonadh. 


Ní shainmhínítear sa GDPR an méid sonraí pearsanta atá ‘leordhóthanach, ábhartha 
agus teoranta'. Caithfidh rialaitheoir measúnú a dhéanamh air seo ag brath ar imthosca 
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na n-oibríochtaí próiseála atá ar intinn acu. Ní mór do rialaitheoir athbhreithniú 
tréimhsiúil a dhéanamh freisin ar mhéid agus ar nádúr na sonraí pearsanta atá á 
bpróiseáil acu, ag cinntiú go bhfuil sé leordhóthanach, ábhartha agus riachtanach, lena 
n-áirítear, na sonraí a scrios nuair nach bhfuil na critéir seo á gcomhlíonadh ag na 
sonraí níos mó. 


Cruinneas 


Éilítear leis an bprionsabal seo go gcinntíonn rialaitheoirí go mbeidh sonraí pearsanta 
cruinn agus, sa chás gá a bheith leis, coinnithe suas le dáta. Ní mór do rialaitheoir 
gach céim réasúnach a ghlacadh lena chinntiú go scriostar sonraí pearsanta nach bhfuil 
cruinn nó go gceartaítear gan mhoill iad, agus aird á thabhairt ar na críocha ar bailíodh 
iad. 


Is ceanglas simplí atá anseo nach mór go mbeidh na sonraí pearsanta a bhailítear, a 
stóráiltear nó atá á bpróiseáil ag an rialaitheoir seachas sin cruinn agus suas le dáta. Ní 
mór na céimeanna réasúnacha go léir a ghlacadh le haon mhíchruinneas a cheartú 
go tapa, lena n-áirítear breithniú cibé an bhfuil sé riachtanach athbhreithniú tréimhsiúil 
a dhéanamh ar na sonraí pearsanta atá á gcoinneáil ag an rialaitheoir. Dá réir sin, ní 
mór go mbeidh nósanna imeachta soiléire ag rialaitheoirí atá ag bailiú sonraí 
pearsanta leis na sonraí pearsanta a cheartú, nó aon sonraí pearsanta atá míchruinn a 
scriosadh mar chuid dá ngníomhaíochtaí bainistíochta. 


Go ginearálta, beidh na céimeanna réasúnacha a éilítear ar rialaitheoirí a ghlacadh lena 
chinntiú go mbíonn sonraí pearsanta cruinn ag brath ar na himthosca agus go háirithe 
ar nádúr na sonraí pearsanta agus na próiseála. Ní mór do rialaitheoirí a gcuid 
oibleagáidí maidir le ceart na n-ábhair sonraí i leith ceartaithe a thabhairt ar aird 
freisin - sonraí pearsanta atá míchruinn a cheartú, nó iad a dhéanamh iomlán sa chás 
iad a bheith neamhiomlán. 


Teorannú Stórála 


Ní mór do rialaitheoirí, sonraí pearsanta a choinneáil i bhfoirm nach gceadaítear na 
hábhair sonraí a shainaithint ach go ceann tréimhse nach faide ná mar is gá chun na 
críocha a dhéantar na sonraí pearsanta a phróiseáil a bhaint amach. Féadfar sonraí 
pearsanta a stóráil níos faide ná mar is gá, sa chás go ndéantar na sonraí pearsanta a 
phróiseáil do chríocha cartlannú amháin ar mhaithe le leas an phobail, chun críocha 
taighde eolaíoch nó stairiúil nó chun críocha staidrimh de réir an GDPR, agus chomh 
fada is atá bearta teicniúla agus eagraíochtúla cuí le saoirsí agus cearta an duine aonair 
a chosaint. 


Dá bhrí sin, ní mór do rialaitheoirí, go ginearálta, sonraí pearsanta a scriosadh chomh 
luath is nach bhfuil gá leo níos mó chun na críocha ar tugadh faoina mbailiú ar dtús. 
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Chuige sin, molann an GDPR gur chóir don rialaitheoir teorainneacha ama do 
scriosadh a bhunú nó d'athbhreithnithe tréimhsiúla. Ag teacht le prionsabal na 
trédhearcachta, ní mór do rialaitheoirí a chinntiú freisin go mbíonn na daoine aonair ar 
an eolas maidir leis na tréimhsí coinneála nó an critéar atá in úsáid lena ríomh. Ní 
mór go mbeidh údar maith ag rialaitheoirí atá ag stóráil sonraí pearsanta as líne nó i 
bhfoirm láimhe i gcóras comhdúcháin, fiú nuair a bhíonn leaganacha digiteacha nó 
cóipeanna scriosta, leis na sonraí pearsanta a choinneáil i bhfoirm as líne agus freagairt 
d'iarratas na ndaoine is ábhar do na sonraí. 


Ag brath ar imthosca, d'fhéadfadh sé a bheith cuí chomh maith do rialaitheoirí na 
sonraí a dhéanamh anaithnid nuair nach bhfuil gá níos mó leis an duine aonair a 
aithint nó a bheith inaitheanta. Tá na sonraí anaithnid i ndáiríre, agus dá bhrí sin, ní 
'sonraí pearsanta” iad níos mó, amháin sa chás is nach bhfuil an duine aonair 
inaitheanta níos mó; mar sin féin, más féidir na sonraí a lua leis an duine aonair i gcónaí 
trí úsáid a bhaint as faisnéis bhreise ní bheadh ach ʻainm bréige’ i gceist agus mar sin 
breithnítear gur sonraí pearsanta atá i gceist i gcónaí. Mura mbíonn an próiseas a 
cuireadh i bhfeidhm leis na sonraí a dhéanamh anaithnid buan agus gur féidir an 
próiseas a aisiompú, ansin níl na sonraí anaithnid. 


Sláine agus Rúndacht 


Ní mór do rialaitheoirí na sonraí pearsanta a phróiseáil ar bhealach a chinntíonn 
leibhéal cuí slándála agus rúndachta na sonraí pearsanta, lena n-áirítear, cosaint in 
aghaidh próiseáil neamhúdaraithe nó neamhdhleathach agus in aghaidh damáiste de 
thionóisc, cailleadh, nó scrios. Chun an méid sin a bhaint amach, ní mór do rialaitheoir 
úsáid a bhaint as bearta iomchuí teicniúla nó eagraíochtúla. 


| bhfocail eile, ní mór do rialaitheoirí a chinntiú go dtugann na bearta slándála atá acu 
cosaint leordhóthanach i gcoinne damáiste de thionóisc nó d'aon turas, cailliúint 
nó scaipeadh na sonraí pearsanta atá á bpróiseáil acu. Ní mór go gclúdóidh na bearta 
slándála seo, ní amháin cibearshlándáil, ach bearta slándála fisiciúla agus 
eagraíochtúla chomh maith. Ní mór d'eagraíocht a sheiceáil go rialta go mbíonn a 
mbearta slándála suas le dáta agus éifeachtach. 


Ní shonraíonn an GDPR na bearta slándála ba chóir d'eagraíochtaí a chur i bhfeidhm, 
mar go bhfuil dul chun cinn a dhéanamh de shíoraí ar shár-chleachtais. Ní mór do 
rialaitheoirí raon roghanna a bhreithniú le cinneadh a dhéanamh maidir leis na 
roghanna is cuí faoin na himthosca, mar nach bhfuil a leithéid de chur chuige ann i leith 
slándáil sonraí ‘go ndéanann an toise céanna gach duine’. Áirítear breithnithe ábhartha 
nuair atáthar i mbun measúnaithe ar bheart cuí, ach níl siad teoranta do: phrionsabal 
íoslaghdaithe sonraí; prionsabail cosanta sonraí trí dhearadh agus de réir 
réamhshocraithe; trédhearcacht maidir le feidhmeanna agus próiseála sonraí 
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pearsanta, a chuireann ar chumas an duine aonair monatóireacht a dhéanamh ar 
phróiseáil na sonraí; agus na sonraí pearsanta a dhéanamh anaithnid agus/nó iad a 
chriptiú. 


Cuntasacht 


Is prionsabal nua cosanta sonraí é prionsabal na cuntasachta, a leagan amach go 
sonrach go bhfuil rialaitheoirí freagrach as, agus go mbeidh ar a gcumas comhlíonadh 
a léiriú le, prionsabail eile cosanta sonraí. Ciallaíonn sé seo nach mór do rialaitheoirí a 
chinntiú go gcomhlíonann siad na prionsabail, ach go bhfuil próisis agus taifid chuí i 
bhfeidhm acu freisin le comhlíonadh a léiriú. 


Cuideoidh prionsabail eile cosanta sonraí leis an gcuntasacht, ar nós, an cur chuige 
cosanta sonraí trí dhearadh agus de réir réamhshocraithe, bearta teicniúla agus 
eagraíochtúla cuí a fheidhmiú, faisnéis thrédhearcach inrochtana gonta a bheith ann, 
agus beartais choinneála sonraí atá soiléir. Áirítear ar bhearta eile le comhlíonadh a 
léiriú le prionsabail cosanta sonraí, glacadh le beartais inmheánacha, cóid iompair nó 
scéimeanna deimhnithe a leanúint, agus nuair is gá, sáruithe i ndáil le sonraí 
pearsanta a thuairisciú agus fógraí agus beartais chuí príobháideachais a chur i 
bhfeidhm. 


Tá Oifigeach Cosanta Sonraí (DPO) a cheapadh, nuair is gá, agus a chinntiú go mbíonn 
siad bainteach i gceart leis na saincheisteanna ar fad a bhaineann le cosaint sonraí, le 
gníomhaíochtaí taifid phróiseála, conarthaí soiléire a leagan amach le lucht próiseála 
atá ag feidhmiú thar ceann an rialaitheora, agus tabhairt faoi mheasúnuithe tionchair 
cosanta sonraí (DPIA'nna), nuair is cuí, ar roinnt de na huirlisí atá in ann cuidiú le 
rialaitheoirí prionsabail na cuntasachta a chomhlíonadh. Tá dul chun cinn á dhéanamh 
ar bhonn leanúnach ar na hoibleagáidí faoi phrionsabail na cuntasachta agus ní mór do 
rialaitheoirí athbhreithniú leanúnach a dhéanamh agus a mbeartas cuntasachta a 


abhairt suas le dáta. 


